1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 通信/网络

HYK-MS-226 信息系统获取、开发和维护控制程序.docVIP

HYK-MS-226 信息系统获取、开发和维护控制程序.doc

    1. 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多
    1系统的目标编写一篇系统获取开发和维护控制程序的总结报告2系统范围系统旨在覆盖信息系统的所有环节,包括项目策划开发实施和质量监控3系统职责由业务部门负责决策和执行各种信息系统建设项目,同时参与信息系统的整体管理和日常维护4相关文件制定了《HYKMS101信息和隐私安全体系管理手册》《HYKMS218第三方服务管理程序》《HYKMS226S01项目管理手册》《HYKMS226S02信息系统开发管理办法》和《HYK

    第PAGE1页共NUMPAGES13页

    深圳市企启信息科技有限公司

    信息系统获取、开发和维护控制程序

    文档编号:HYK-MS-226

    版本信息:V1.0

    创建人:信息安全与隐私安全小组

    审核者:周静

    批准人:黄伟

    编制日期:2022年5月10日

    批准日期:2022年5月10日

    文件变更记录

    版本

    变更描述

    日期

    修订人

    批准日期

    批准人

    V1.0

    初始版本,文档建立

    2022年5月10日

    周静

    2022年5月10日

    黄伟

    目录

    TOC\o1-2\h\u205251.目的 4

    191072.范围 4

    162783.职责 4

    56734.相关文件 4

    27735.程序 4

    147405.1信息系统的安全要求 4

    259235.2信息系统的安全要求 7

    245495.3测试数据 12

    180796.要求 13

    244507.相关记录 13

    31444无 13

    1.目的

    为了对公司信息系统建设的策划、开发、实施、检查等进行有效的控制,特制定本程序。

    2.范围

    本程适用于信息系统获取开发和维护的管理。

    3.职责

    3.1业务部门

    负责批准各种信息系统的建设项目和建设方案。

    负责归口管理信息系统的管理,负责提出信息系统开发建设项目的概要设计,控制信息系统开发建设实施中的信息和隐私安全和技术支持。

    负责在业务范围内提出信息系统的管理要求,进行可行性研究、项目实施、测试验收和项目质量的监控等工作。

    4.相关文件

    《HYK-MS--101信息和隐私安全体系管理手册》

    《HYK-MS-218第三方服务管理程序》

    《HYK-MS-226-S01项目管理手册》

    《HYK-MS-226-S02信息系统开发管理办法》

    5.程序

    5.1信息系统的安全要求

    各部门负责信息系统整个生命周期以及所提供的公共网络服务的信息系统中的信息安全。

    5.1.1信息安全要求分析和说明

    各部门在提出新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求。

    各部门应使用不同的技术方法来识别信息安全要求是否合规,例如,来自政策法规的符合性要求、威胁建模、事件评审或脆弱性阈值的使用。识别结果需形成文件记录并相关干系人评审。

    信息安全要求和控制需反映出所涉及的信息资产的业务价值,和可能由于缺乏足够的安全导致的潜在的负面的业务影响。

    需在信息系统项目初期阶段对信息安全要求的内容和相关的管理过程进行识别和管理。在设计阶段,甚至需求分析阶段将信息安全要求融入相关文件,以保证形成的解决方案更符合公司利益,高效的指导项目实施。

    信息安全要求需考虑:

    针对用户声称身份所要求的信任度,得出用户鉴别要求;

    对业务用户、特权人员或技术人员的访问配置和授权过程;

    告知用户和操作人员的职责和责任;

    所涉及资产的保护需求,尤其是有关可用性、必威体育官网网址性和完整性;

    来自业务过程的要求,例如,事务日志、监视和抗抵赖要求;

    其他安全控制规定的要求,例如,对记录和监视系统或数据泄露检测系统的接口。

    对于在公共网络上提供服务或实现交易的应用而言,需考虑公共网络上应用服务的安全保护和应用服务事务的保护中给出的控制。

    如需某种产品,则需遵循一个正式的测试和获取过程。与供货商签订的合同需确定已识别的安全要求。如果推荐的产品的安全功能不能满足规定的安全要求,那么在购买产品之前需重新考虑引入的风险和相关控制。

    需评价和实现可用的产品安全配置指南及其系统的最终软件/服务栈。

    需规定产品接收准则(如产品的功能性方面),这可为满足已识别的安全要求提供保证。需在获取产品之前根据这些准则评价产品。需评审附加功能以确保其不会引入不可接受的附加风险。

    5.1.2公共网络上应用服务的安全保护

    组织应确保在非置信的数据传输网络上传输PII信息要加密传输各部门应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。

    公共网络上应用服务的安全应考虑:

    每一方要求其他方所声称身份的信心程度;

    与可批准、发布或签署关键交易文件内容的人员相关联的授权过程;

    确保在与合作伙伴的沟通中,完整地告知了他们有关服务供给或使用的授权;

    确定并满足关键文件的必威体育官网网址性、完整性、分发和接受证明的要求以及合同的抗抵赖要求;

    关键文档完整性所要求的可信等级;

    任何必威体育官网网址信息的保护要求;

    任何订单交易、支付信息、交付地址细节和接收确认的必威体育官网网址性和完整性;

    适于验证顾客提供的支付信息的验证程度;

    为防止欺诈,选择最适合的支付结算形式;

    为维护订单信息的必威体育官网网址性和完整性所需的保护级别;

    避免交易信息的丢失或复制;

    与任何欺诈交易相关的义务;

    保险要求。

    上述考虑可以通过应用密码控制来实现,还要考虑符合法律要求。

    您可能关注的文档

    最近下载

    文档评论(0)

    152****3299 + 关注
    实名认证
    文档贡献者

    四川省南充市人,在重庆汽车行业从事质量工程师一职

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >